报告编号：B6-2022-011701

报告来源：360CERT

报告作者：360CERT

更新日期：2022-01-17

0x01   事件导览

本周收录安全热点27项，话题集中在恶意软件、数据泄露方面，涉及的组织有：ZLoader、Abcbot、CISA、OceanLotus等。多个严重漏洞曝光，各厂商注意及时修复。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

新的ZLoader恶意软件活动袭击了111个国家的2000多名受害者

日期: 2022年01月10日
等级: 高
作者: Pierluigi Paganini
标签: windows, zloader, microsoft , Zeus OpenSSL
行业: 信息传输、软件和信息技术服务业
涉及组织: check point, microsoft

CheckPointResearch的专家于2021年11月初发现了一个新的ZLoader恶意软件活动，截至2022年1月2日，威胁行为者已经窃取了111个国家/地区2000多名受害者的数据和凭据。Zloader是一种银行恶意软件，至少自2016年以来一直很活跃，它从臭名昭着的Zeus2.0.8.9银行木马中借用了一些功能，并用于传播类似宙斯的银行木马（即ZeusOpenSSL）。

涉及漏洞

cve-2013-3900

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2013-3900

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=

详情

加利福尼亚州格拉斯瓦利市遭遇数据泄露——员工和公民信息被泄露

日期: 2022年01月10日
等级: 高
作者: Jessica Haworth
标签: Grass Valley, Government, US, Passwords, Finance
行业: 政府机关、社会保障和社会组织

有关加利福尼亚州格拉斯瓦利市大规模数据泄露的更多细节揭示了员工，公民和其他人的信息被复制并转移到另一个网络。市议会此前的一份声明证实，在2021年4月13日至7月1日期间经历了对其系统的"未经授权的访问"。一项调查现已确定攻击的程度，揭示恶意行为者已将文件转移到另一个网络，包括"与GrassValley相关的个人"的财务和个人信息。

详情

专家发现，Abcbot和Xante僵尸网络有着相同的起源

日期: 2022年01月10日
等级: 高
作者: Pierluigi Paganini
标签: Abcbot, Xanthe, C2, DDoS
行业: 信息传输、软件和信息技术服务业
涉及组织: docker, cisco, huawei

11月，奇虎360网实验室安全团队的研究人员发现了一个新的僵尸网络，跟踪为Abcbot，它针对Linux系统发起分布式拒绝服务（DDoS）攻击。12月，CadoSecurity专家发现了一个新版本的恶意shell脚本，该脚本针对在上述中国云托管提供商下运行的不安全云实例。目标提供商列表包括阿里云，百度，腾讯和华为云。

详情

Linux 版本的 AvosLocker 勒索软件以 VMware ESXi 服务器为目标

日期: 2022年01月10日
等级: 高
作者: Sergiu Gatlan
标签: Linux, AvosLocker, VMware ESXi
行业: 跨行业事件

AvosLocker是最新的勒索软件团伙，它在其最近的恶意软件变体中添加了对加密Linux系统的支持，专门针对VMwareESXi虚拟机。虽然我们无法找到使用这种AvosLocker勒索软件Linux变体攻击的目标，但从BleepingComputer报道中知道至少有一名受害者被要求支付100万美元的赎金。几个月前，AvosLocker团伙还被看到宣传其最新的勒索软件变体WindowsAvos2和AvosLinux，同时警告分支机构不要攻击后苏联/独联体目标。

详情

新的SysJocker后门以Windows、macOS和Linux为目标

日期: 2022年01月11日
等级: 高
作者: Bill Toulas
标签: SysJoker, Windows, macOS, Linux
行业: 信息传输、软件和信息技术服务业
涉及组织: google, microsoft, intel, github

一种名为"SysJoker"的新型多平台后门恶意软件已经出现，其目标是Windows，Linux和macOS，能够在所有三个操作系统上逃避检测。新恶意软件的发现来自Intezer的研究人员，他们在调查了对基于Linux的Web服务器的攻击后，于2021年12月首次看到了其活动的迹象。

详情

新的RedLine恶意软件版本作为假Omicron统计计数器分发

日期: 2022年01月12日
等级: 高
作者: Pierluigi Paganini
标签: RedLine, COVID-19 Omicron, Cookie
行业: 卫生和社会工作

Fortinet研究人员发现了一种新版本的RedLine信息窃取器，该版本正在通过电子邮件传播，使用伪造的COVID-19Omicron统计计数器应用程序作为诱饵。RedLine恶意软件允许运营商窃取多个信息，包括凭据，信用卡数据，Cookie，存储在浏览器中的自动完成信息，加密货币钱包，存储在VPN客户端和FTP客户端中的凭据。恶意代码也可以充当第一阶段恶意软件。

详情

TellYouThePass 勒索软件以跨平台Golang威胁的形式返回

日期: 2022年01月12日
等级: 高
作者: Bill Toulas
标签: TellYouThePass, Golang, macOS, Linux, Log4Shell
行业: 信息传输、软件和信息技术服务业

TellYouThePass勒索软件已经重新成为Golang编译的恶意软件，使其更容易针对更多的操作系统，特别是macOS和Linux。这种恶意软件株的回归在上个月被注意到，当时威胁行为者将其与Log4Shell漏洞结合使用来针对易受攻击的机器。

详情

Magniber勒索软件使用签名的APPX文件感染系统

日期: 2022年01月12日
等级: 高
作者: Bill Toulas
标签: Magniber, .appx, Internet Explorer, Chrome, Edge
行业: 信息传输、软件和信息技术服务业

已发现Magniber勒索软件使用Windows应用程序包文件（.APPX）使用有效证书签名，以丢弃伪装成Chrome和Edge网络浏览器更新的恶意软件。这种分发方法标志着与此威胁参与者以前的方法的转变，该方法通常依赖于利用InternetExplorer漏洞。

详情

亚马逊和Azure云服务在一场恶意的Trio RAT活动中被滥用

日期: 2022年01月13日
等级: 高
来源: heimdalsecurity
标签: Azure, AWS, RCE, Trio RAT
行业: 信息传输、软件和信息技术服务业
涉及组织: cisco, amazon, microsoft

研究人员已经发现了一个恶意活动，利用三个远程访问特洛伊木马，这些特洛伊木马以亚马逊网络服务（AWS）和Azure云服务为目标。威胁行为者的目标是窃取受害者的数据并执行RCE（远程代码执行）。

详情

GootLoader黑客攻击律师事务所和会计师事务所的员工

日期: 2022年01月13日
等级: 高
作者: Ravie Lakshmanan
标签: GootLoader, eSentire, Law
行业: 金融业
涉及组织: google, wordpress

GootLoader活动的运营商正在将目光投向会计和律师事务所的员工，作为在受感染的系统上部署恶意软件的广泛网络攻击的新一轮攻击的一部分，这表明对手正在将其重点扩展到其他高价值目标。GootLoader是一种隐蔽的初始访问恶意软件，在进入受害者的计算机系统后，它会用勒索软件或其他致命恶意软件感染系统。

详情

国防承包商Hensoldt确认Lorenz勒索软件攻击

日期: 2022年01月14日
等级: 高
作者: Sergiu Gatlan
标签: Hensoldt, Lorenz
行业: 制造业

总部位于德国的跨国国防承包商Hensoldt证实，其英国子公司的一些系统在勒索软件攻击中遭到破坏。这家国防跨国公司为国防、航空航天和安全应用开发传感器解决方案，在法兰克福证券交易所上市，2020年的营业额为12亿欧元。

详情

Qlocker勒索软件目标是全球QNAP NAS设备

日期: 2022年01月15日
等级: 高
作者: Sergiu Gatlan
标签: Qlocker, QNAP NAS, 7-zip
行业: 信息传输、软件和信息技术服务业
涉及组织: qnap

Qlocker勒索软件背后的威胁行为者再次将目标对准全球暴露在互联网上的QNAP网络附加存储（NAS）设备。Qlocker此前曾在4月19日当周开始的大规模勒索软件活动中以QNAP客户为目标，在入侵NAS设备后，将受害者的文件移动到受密码保护的7-zip存档中，并带有.7z扩展名。

涉及漏洞

cve-2021-28799

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-28799

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

Goodwill披露其ShopGoodwill平台上的数据泄露事件

日期: 2022年01月14日
等级: 高
作者: Sergiu Gatlan
标签: Goodwill, Ryan Smith, 数据泄露
行业: 批发和零售业
涉及组织: wordpress

美国非营利组织Goodwill披露了一起数据泄露事件，该数据泄露事件影响了使用其ShopGoodwill.com电子商务拍卖平台的客户账户。ShopGoodwill副总裁RyanSmith在发送给受影响个人的数据泄露通知信中表示，由于网站漏洞，他们的一些个人联系信息被暴露。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

几名EA Sports FIFA 22玩家被黑客入侵

日期: 2022年01月10日
等级: 高
作者: Pierluigi Paganini
标签: EA Sports FIFA 22, lNoahHDl, FUT Donkey
行业: 文化、体育和娱乐业

越来越多的EASportsFIFA22玩家报告说，他们的EA账户遭到黑客攻击，其中包括JamieBateson（又名Bateson87），NickRTFM，Trymacs，TisiSchubecH和FUTFG等着名主播。攻击者还从玩家的FUT俱乐部偷走了硬币和球员。最近几天，FIFA22的交易社区也成为攻击者的目标，这些攻击者入侵了一些游戏最成功的交易者，包括lNoahHDl，FUTDonkey，JoaoSeleiro和narcoinsfc（Wael）。

详情

美国政府警告俄罗斯黑客攻击关键基础设施

日期: 2022年01月11日
等级: 高
作者: Sergiu Gatlan
标签: fbi, cisa, nsa
行业: 政府机关、社会保障和社会组织
涉及组织: cisa, microsoft, fbi

联邦调查局，CISA和NSA已警告关键基础设施网络防御者，随时准备检测并阻止由俄罗斯支持的黑客组织精心策划的美国关键基础设施部门的组织的攻击。已经观察到与俄罗斯相关的高级持续性威胁（APT）参与者使用各种有效策略攻击其网络的各种美国组织，从鱼叉式网络钓鱼和暴力破解帐户到利用各种已知的安全漏洞。

详情

国家黑客在Log4j攻击中使用新的PowerShell后门

日期: 2022年01月11日
等级: 高
作者: Bill Toulas
标签: log4j, PowerShell, Charming Kitten, Phosphorus
行业: 政府机关、社会保障和社会组织
涉及组织: check point, amazon

据信是伊朗国家支持组织APT35（又名"CharmingKitten"或"Phosphorus"）一部分的黑客已被观察到利用Log4Shell攻击来丢弃新的PowerShell后门。模块化有效负载可以处理C2通信，执行系统枚举，并最终接收、解密和加载其他模块。Log4Shell是CVE-2021-44228的漏洞，CVE-2021-44228是12月披露的ApacheLog4j中的一个关键远程执行代码漏洞。

涉及漏洞

cve-2021-44228

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-44228

详情

俄罗斯副部长电子邮件被攻击

日期: 2022年01月12日
等级: 高
作者: Ionut Ilascu
标签: government , RAT, MID, APT37
行业: 政府机关、社会保障和社会组织
涉及组织: google

为朝鲜政府工作的黑客已经破坏了俄罗斯外交部（MID）一名工作人员的电子邮件帐户，并对该国在其他地区的外交官进行了鱼叉式网络钓鱼攻击。其中一个目标是俄罗斯联邦外交部副部长谢尔盖·阿列克谢耶维奇·里亚布科，他负责与北美和南美的双边关系。

网络钓鱼活动至少从2021年10月19日开始，部署Konni恶意软件，这是一种远程管理工具（RAT），与朝鲜黑客的网络活动有关，称为APT37（或StarCruft，Group123，OperationErebus和OperationDaybreak）。

详情

黑客使用云服务分发 Nanocore、Netwire 和 AsyncRAT 恶意软件

日期: 2022年01月12日
等级: 高
作者: Ravie Lakshmanan
标签: Nanocore, Netwire , AsyncRAT , Amazon, Microsoft
行业: 信息传输、软件和信息技术服务业
涉及组织: cisco, amazon, microsoft, slack

威胁行为者正在积极地将亚马逊和微软的公共云服务整合到他们的恶意活动中，以提供商品远程访问木马（RAT），如Nancore，Netwire和AsyncRAT，以从受感染的系统中窃取敏感信息。来自思科Talos的研究人员在与TheHackerNews分享的一份报告中表示，鱼叉式网络钓鱼攻击始于2021年10月，主要针对位于美国，加拿大，意大利和新加坡的实体。

详情

OceanLotus黑客利用web归档文件部署后门

日期: 2022年01月12日
等级: 高
作者: Bill Toulas
标签: OceanLotus, Web, APT32, SeaLotus
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft, github

国家背景的黑客小组OceanLotus现在正在使用Web存档文件格式（.MHT和.MHTML）将后门部署到受感染的系统。目标是逃避防病毒解决方案工具的检测，这些工具更有可能捕获通常滥用的文档格式并阻止受害者在MicrosoftOffice上打开它们。

详情

与朝鲜有关的APT BlueNoroff关注加密盗窃

日期: 2022年01月14日
等级: 高
作者: Pierluigi Paganini
标签: BlueNoroff, APT, MetaMask, Lazarus
行业: 金融业
涉及组织: google, linkedin

与朝鲜有联系的APT集团BlueNoroff被发现瞄准了使用假MetaMask浏览器扩展的加密货币初创公司。民族国家行为者被认为是一个在臭名昭着的与朝鲜有联系的LazarusAPT组织控制下运作的团体。

详情

多个乌克兰政府网站被黑客攻击

日期: 2022年01月14日
等级: 高
作者: Bill Toulas
标签: government , CMS, GhostWriter APT
行业: 政府机关、社会保障和社会组织

至少有15个属于乌克兰各种公共机构的网站遭到破坏，污损，随后被脱机。这包括外交部、农业、教育和科学部、安全和国防部的网站，以及内阁成员的在线门户网站。污损信息以乌克兰语，俄语和波兰语发布，警告网站的访问者，上传到公共网络的所有公民数据都已受到损害。

涉及漏洞

CVE-2021-32648

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-32648

详情

网络攻击导致阿尔伯克基学校关闭

日期: 2022年01月14日
等级: 高
来源: zdnet
标签: APS, Roadrunner, ransomware
行业: 教育
涉及组织: apple, microsoft

由于网络攻击，新墨西哥州阿尔伯克基的学校官员取消了周四和周五的课程。关闭几天后，在阿尔伯克基公立学校（APS）网站上发布的一份声明中，官员们表示，学校将继续关闭，"因为该地区继续调查网络攻击，该攻击损害了用于出勤的学生信息系统，在紧急情况下联系家庭，并确保学生由授权的成年人从学校接走。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   其它事件

新的KCodes NetUSB错误影响了来自不同供应商的数百万路由器

日期: 2022年01月11日
等级: 高
作者: Ravie Lakshmanan
标签: KCodes NetUSB, Netgear, TP-Link, Tenda, EDiMAX, D-Link, Western Digital
行业: 制造业
涉及组织: cisco

网络安全研究人员详细介绍了KCodesNetUSB组件中的一个高严重性缺陷，该组件已集成到Netgear，TP-Link，Tenda，EDiMAX，D-Link和WesternDigital等数百万最终用户路由器设备中。KCodesNetUSB是一个Linux内核模块，它使本地网络上的设备能够通过IP提供基于USB的服务。插入基于Linux的嵌入式系统（例如路由器）的打印机、外部硬盘驱动器和闪存驱动器可通过驱动程序通过网络获得。

涉及漏洞

cve-2019-5016

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2019-5016

cve-2019-5017

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2019-5017

CVE-2021-45608

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45608

CVE-2015-3036

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3036

详情

CISA提醒联邦机构注意仍在利用的古老错误

日期: 2022年01月11日
等级: 高
作者: Ionut Ilascu
标签: CISA, IBM
行业: 政府机关、社会保障和社会组织
涉及组织: cisa, ibm

美国网络安全和基础设施安全局（CISA）更新了其已知被利用漏洞的列表，其中包含15个新的安全问题，这些问题是针对联邦企业的频繁攻击媒介。最新增加的内容在严重程度和披露日期方面有所不同，其中一些被评为中等风险，而另一些则与2013年一样古老。结合其他因素，例如威胁参与者在网络上的立足点，旧的和未打补丁的设备，和/或公共互联网上的设备暴露，这些漏洞是一个严重的安全漏洞，也是对手的机会。

详情

美国将MuddyWater黑客组织与伊朗情报局联系起来

日期: 2022年01月12日
等级: 高
作者: Sergiu Gatlan
标签: MuddyWater, uscybercom, mois, APT
行业: 政府机关、社会保障和社会组织
涉及组织: microsoft, fbi

美国网络司令部（USCYBERCOM）已正式将伊朗支持的MuddyWatter黑客组织与伊朗情报和安全部（MOIS）联系起来。MOIS是伊朗政府的主要情报机构，负责协调该国的情报和反情报，以及支持伊斯兰政权在伊朗境外目标的秘密行动。

详情

SysJoker，一个以前未被发现的跨平台后门成为头条新闻

日期: 2022年01月13日
等级: 高
作者: Pierluigi Paganini
标签: Intezer, SysJoker, macOS, Windows, Linux, C2
行业: 教育
涉及组织: google

来自Intezer的安全专家发现了一个新的后门，称为SysJoker，能够感染Windows，macOS和Linux系统。对VirusTotal中发现的C2域名注册和样本的分析表明，SysJoker至少自2021年下半年以来一直处于活跃状态。

详情

研究人员解密了Qakbot Banking特洛伊木马加密的注册表项

日期: 2022年01月13日
等级: 高
作者: Ravie Lakshmanan
标签: Qakbot Banking, SQUIRRELWAFFLE, Windows
行业: 信息传输、软件和信息技术服务业

Qakbot，也被称为QBot，QuackBot和Pinkslipbot，自2007年以来一直在野外被观察到。虽然Qakbot主要被塑造成一种窃取信息的恶意软件，但此后它改变了目标，并获得了新功能，以提供CobaltStrikeBeacon等入侵后攻击平台，最终目标是在受感染的机器上加载勒索软件。

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x07   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x08   时间线

2022-01-17 360CERT发布安全事件周报